Le RGPD, l’avocat et ses contrats

Tribune n°267
Le Fil RGPD

En tant qu’entreprise, l’avocat conclut divers contrats avec ses clients, avec ses collaborateurs ou encore avec ses fournisseurs de services ou de marchandises. Ces contrats doivent intégrer les exigences du Règlement général sur la protection des données (ci-après : le RGPD).

Ces exigences s’appliquent en deux temps.

La collecte des données personnelles lors de la conclusion d’un contrat

Premièrement, à la conclusion du contrat, qui est en général le moment de la collecte d’informations et donc de données à caractère personnel. A titre d’exemple, lors de l’ouverture d’un dossier, l’avocat collecte une copie de la carte d’identité, les coordonnées de facturation, etc.

Or l’article 13 du RGPD dispose :

« 1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes (…) »

Les dispositions de cet article consacrent le droit à l’information des personnes concernées.

Ainsi, au moment de contracter, l’avocat doit informer les personnes concernées sur les traitements de leurs données à caractère personnel, en particulier concernant les finalités du traitement, les catégories de données collectées et les droits dont les personnes concernées disposent.

Pour répondre à cette obligation, il est nécessaire d’intégrer dans la correspondance accompagnant les contrats, ou dans les contrats eux-mêmes, une référence explicite à une politique ou à une déclaration de protection des données détaillant ces informations.

Une mention de ce type peut figurer dans les conditions générales :

« X. Traitement des données à caractère personnel

Le cabinet est soucieux d’assurer un niveau élevé de protection des données. L’avocat agit dans la défense des intérêts de ses clients, en qualité de responsable du traitement. Toutes les informations relatives aux traitements de données de ses clients sont disponibles dans sa politique de protection des données, jointe aux présentes conditions ou accessible en ligne en suivant ce lien : [insérer lien], ou sur demande. »

Comme indiqué dans une contribution précédente, il est également recommandé de communiquer cette politique en l’annexant aux documents d’ouverture de dossier.

La gestion des contrats impliquant un échange de données personnelles

Deuxièmement, durant l’exécution du contrat au cours de laquelle des données à caractère personnel peuvent être échangées et traitées. Dans ce cas, il convient de vérifier si un contrat spécifique doit être signé pour garantir la conformité de cet échange aux exigences du RGPD et, le cas échéant, de déterminer quel type de contrat est le plus approprié.

En effet, le RGPD dispose en son article 28 que lorsque le traitement des données est confié à un sous-traitant, il doit être régi par un contrat.

La lecture de cet article doit être complétée par celle du considérant 81 du RGPD qui énonce: « Afin que les exigences du présent règlement soient respectées dans le cadre d'un traitement réalisé par un sous-traitant pour le compte du responsable du traitement, lorsque ce dernier confie des activités de traitement à un sous-traitant, le responsable du traitement ne devrait faire appel qu'à des sous-traitants présentant des garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources, pour la mise en œuvre de mesures techniques et organisationnelles qui satisferont aux exigences du présent règlement, y compris en matière de sécurité du traitement(…). La réalisation d'un traitement par un sous-traitant devrait être régie par un contrat ou un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, liant le sous-traitant au responsable du traitement, définissant l'objet et la durée du traitement, la nature et les finalités du traitement, le type de données à caractère personnel et les catégories de personnes concernées, en tenant compte des tâches et responsabilités spécifiques du sous-traitant dans le cadre du traitement à effectuer et du risque pour les droits et libertés de la personne concernée. Le responsable du traitement et le sous-traitant peuvent choisir de recourir à un contrat particulier ou à des clauses contractuelles types, qui sont adoptées soit directement par la Commission soit par une autorité de contrôle conformément au mécanisme de contrôle de la cohérence, puis par la Commission. » 

Le sous-traitant est défini dans le RGPD comme étant la personne « qui traite les données à caractère personnel pour le compte du responsable de traitement ». L’existence de la sous-traitance implique que l’avocat responsable du traitement doit avoir décidé de déléguer tout ou partie des opérations de traitement à une autre personne ou une autre organisation, juridiquement distincte de la sienne ou de sa personne.

Dans cette situation, l’avocat, en tant que responsable du traitement, doit s’assurer que le sous-traitant présente les garanties nécessaires en matière de sécurité et de conformité au RGPD.

C’est le cas notamment lorsque l’avocat utilise un logiciel de gestion des dossiers avec un service de maintenance et un hébergement cloud. Son fournisseur de service informatique sera son sous-traitant. Le cas échéant, un stagiaire pourrait être qualifié de sous-traitant, suivant les circonstances.

Pareillement, en son article 26, le RGPD prévoit, s’agissant des partages des données entre responsables conjoints que : « Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d'assurer le respect des exigences du présent règlement, notamment en ce qui concerne l'exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles 13 et 14, par voie d'accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l'Union ou par le droit de l'État membre auquel les responsables du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l'accord. »

Le responsable de traitement est la personne qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement. Quand deux ou plusieurs personnes ont cette qualité pour un même traitement, elles seront considérées comme responsables conjoints du traitement.

En l’occurrence, si au sein d’un même cabinet plusieurs avocats associés partagent un outil de gestion commun et collaborent sur les dossiers, ils déterminent ensemble la finalité et les moyens de gestion des dossiers et pourraient être considérés comme responsables conjoints.

Ainsi, lorsque plusieurs entités déterminent ensemble les finalités et les moyens d’un traitement, elles doivent conclure un accord précisant clairement leurs responsabilités respectives.

Enfin, le RGPD stipule en son article 29 que :« Le sous-traitant et toute personne agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut pas traiter ces données, excepté sur instruction du responsable du traitement, à moins d'y être obligé par le droit de l'Union ou le droit d'un État membre. »

L’avocat, responsable du traitement des données de ses dossiers, doit veiller à ce que ses employés, sa secrétaire ou toute personne travaillant sous son autorité, le cas échéant un stagiaire, assurent un niveau de conformité au RGPD équivalent au sien.

Il découle des dispositions des articles 26, 28 et 29 du RGPD qu’une répartition claire des obligations et des responsabilités doit être établie par voie de contrat, tant lorsque le responsable du traitement détermine les finalités et les moyens du traitement conjointement avec d'autres responsables du traitement, que pour une opération de traitement effectuée pour le compte d'un responsable du traitement.

Une méthodologie en trois étapes pour assurer la conformité

Pour garantir la conformité de vos contrats au RGPD, il est recommandé de suivre une démarche structurée en trois étapes :

1 - Identifier les traitements de données

Dans un premier temps vous devez déterminer si le contrat implique des traitements de données à caractère personnel, par exemple dans le cadre de la gestion d’un dossier client par un collaborateur ou dans l’utilisation d’un logiciel de gestion du cabinet.

Prenons quelques exemples : le traitement du dossier de votre client par votre collaborateur ou stagiaire, ou encore le traitement des données du dossier du client dans le logiciel de gestion du cabinet.

2 - Définir le rôle des parties

Dans l’affirmative, il vous revient, dans un deuxième temps, d’identifier les rôles des parties contractantes dans le traitement des données.

On retrouve dans le RGPD 4 rôles : i) le sous-traitant, ii) le responsable du traitement et le responsable conjoint, iii) le tiers destinataire, iv) la personne travaillant sous l’autorité du responsable ou du sous-traitant. Les trois premiers rôles sont définis explicitement à l’article 4 du RGPD, consacré aux définitions.

Le dernier rôle, celui de « la personne travaillant sous l’autorité du responsable ou du sous-traitant » fait simplement l’objet d’une mention aux articles 29 et 32 du RGPD. Il est important de comprendre que la notion d’autorité n’implique pas de lien de subordination au sens du droit du travail.

3 - Adapter vos contrats

Troisièmement, une fois les rôles définis, nous vous invitons à inclure des clauses ou contrats spécifiques par voie d’annexe ou d’addendum, en veillant à prévoir des garanties adéquates pour les transferts de données hors de l’Union européenne, le cas échéant.

Adoptez les clauses contractuelles types de la Commission européenne pour garantir la conformité des transferts.

Mais cela fera l’objet de nos prochains articles… à suivre ! 

En résumé :

  1. Vérifier si le contrat implique l’échange de données à caractère personnel ou des traitements de données pour compte de l’avocat ;
  2. Vérifier si cet échange reste au sein de l’Union européenne ou pas ;
  3. Identifier le rôle des parties au contrat parmi les quatre rôles suivants : sous-traitant, responsable (conjoint) du traitement, tiers destinataire, personne travaillant sous l’autorité de l’avocat.
  4. Conclure l’avenant ou le contrat ad hoc.
  5. Mentionner ce traitement et l’existence de cet échange des données dans votre registre.

 

Saba Parsa
DPO de l’OBFG
Avocate au barreau du Brabant wallon

A propos de l'auteur

Profile picture for user Saba Parsa
Saba
Parsa
DPO de l’OBFG et avocate au barreau du Brabant wallon

a également publié

AVOCATS.BE

Accès des avocats au Registre national : une question de déon ...

Il y a 1 mois
L’avocat a la faculté d’accéder, dans le cadre de ses missions, à de nombreuses bases de données, notamment aux informations du Registre national des personnes physiques (ci-après le RN). À titre d’exemple, en application de l’article 1034quater du Code judiciaire, l’avocat doit, à peine de nullité, joindre un certificat de domicile ou un extrait du Registre national des personnes physiques à sa requête. Pour ce faire, il lui suffit de se connecter à la DP-A et de remplir le formulaire mis à sa disposition par l’Ordre des Barreaux Francophones et Germanophone (AVOCATS.BE), lequel intervient en tant que tiers de confiance.
AVOCATS.BE

Oups… j’ai été piraté ! Que faire pour rester conforme a ...

Il y a 2 mois
Phishing, rançongiciels, vols de données : les cyberattaques visant les avocats se multiplient. Pour rester conforme au RGPD en cas de violation de données, connaître vos obligations, telles que la notification à l'Autorité de protection des données et la communication aux personnes concernées, devient incontournable. Une approche anticipée et structurée permet de mieux gérer ces incidents tout en protégeant la réputation de votre cabinet.

Informations pratiques

Jurisprudence professionnelle : textes et arrêts de la CEDH

Vous trouverez sur le site internet de la Délégation des Barreaux de France les résumés en français des principaux arrêts de la Cour européenne des droits de l’homme qui concernent la profession d’avocat.

Rentrées des jeunes barreaux

Catégories

Agenda des formations

Prenez connaissance des formations, journées d'études, séminaires et conférences organisées par les Ordres des avocats et/ou les Jeunes Barreaux en cliquant ici.

Si vous souhaitez organiser une formation et que vous souhaitez l'octroi de points pour celle-ci, veuillez consulter les modalités qui s'appliquent aux demandes d'agrément dans le document suivant et complétez le formulaire de demande.